Als Verantwortlicher in einem Startup musst Du Dich neben der eigentlichen Geschäftsidee noch um zahlreiche teils unbeliebte Themen kümmern. Eines davon ist für viele der Datenschutz. Unterschätzen und vernachlässigen sollte man ihn nicht. Denn eine Beschwerde bei der Aufsichtsbehörde ist seitens mittlerweile gut informierter Bürger schnell abgesetzt. Und wer möchte schon mit einem Unternehmen Geschäfte machen, von dem man weiß, dass dieses freizügig mit den eigenen Daten umgeht?
Wir zeigen Dir, was Du tun musst, um den Datenschutz auch im Alleingang effektiv zu meistern und Prozesse von Anfang an so zu gestalten, dass der Datenschutz im Unternehmen als selbstverständlich gelebt wird.
Überblick: Wissen was innerhalb Deiner Organisation passiert
Du solltest Dir als allerersten Schritt einen Überblick darüber verschaffen, welche personenbezogenen Daten wo, von wem, womit, wie, wofür und warum überhaupt in Deinem Unternehmen verarbeitet werden. Dabei sollten wirklich alle internen und externen Prozesse und Datenflüsse analysiert werden.
Du solltest dokumentieren wo und wie diese Daten in die Organisation kommen, wie und wo sie überall ankommen bzw. das Unternehmen wieder verlassen(z.B. Geschäftspartner, Kunden, Dienstleister), etwa im Zuge einer Auftragsverarbeitung.
Zusammengefasst solltest Du detailliert die folgenden Punkte betrachten:
- Was machen wir überhaupt alles?
- Wo werden personenbezogene Daten erhoben und verarbeitet?
- Brauchen wir die Daten überhaupt?
- Welche Dienstleister setzen wir ein?
- Was ist unsere Grundlage / Rechtmäßigkeit bei jedem einzelnen Prozess (Vertrag, vorvertragliche Maßnahmen, Einwilligung, ein Gesetz oder berechtigtes Interesse) für die Erhebung und Verarbeitung? Also – dürfen wir das überhaupt?
Grundsätzlichster Grundsatz – Wer schreibt der bleibt!
Im Datenschutz wird Dokumentation großgeschrieben. Die gute Nachricht – wenn Du Dich mit Deiner Organisation und den Prozessen wie erwähnt beschäftigst und das auch noch dokumentierst, bist Du schon einen großen Schritt weiter. Wenn Du das beispielsweise mit Hilfe eines Datenschutzmanagement-Systems ausführlich aufbaust, hast Du schon das Verzeichnis der Verarbeitungstätigkeiten, als das Herzstück der Dokumentation, erledigt. Was alles erfasst werden muss findest Du in diversen Dokumenten, die es im Markt auch schon kostenlos zum Download gibt. Im Übrigen muss das Verzeichnis der Verarbeitungstätigkeiten der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden, das Thema sollte also tatsächlich ernst genommen werden.
Überlege, ob Dein Unternehmen alle erforderlichen Datenschutzdokumente und Vereinbarungen führt. Dazu gehören beispielsweise Geheimhaltungsvereinbarungen mit Dienstleistern, Verpflichtung zur Vertraulichkeit der Mitarbeiter und ob Du mit Deinen Dienstleistern (dies können auch Plattformen oder Tools sein) Verträge zur Auftragsvereinbarung oder über eine gemeinsame Verantwortlichkeit abgeschlossen hast.
Natürlich müssen die gespeicherten Daten vor dem Zugriff Unbefugter und einem möglichen Datenmissbrauch mit allen zur Verfügung stehenden Mitteln geschützt werden und auf dem aktuellen technischen Stand sein. Auch dieses musst Du im Fall einer Überprüfung nachweisen und dokumentieren (Stichwort Technische und organisatorische Maßnahmen).
Und wenn Du alles ordentlich dokumentierst, wird es Dir auch nicht schwer fallen auf Anfragen von Betroffenen zu antworten. Die Rechte der Betroffenen gehören nämlich zu den grundlegenden Punkten der EU-DSGVO. Wenn also eine Anfrage von Herrn Mayer eintrifft, der wissen will, warum er Deinen Newsletter bekommt und welche Daten Du noch so von ihm gespeichert hast, musst Du darauf innerhalb eines Monats antworten können. Wenn Du also bis hierhin alle Deine Prozesse entsprechend dokumentiert hast, dürfte die Antwort auf solche Anfragen ein Kinderspiel darstellen.
Woher weißt Du was Du alles brauchst? Dazu später mehr.
Korrekte Außendarstellung – keine Angriffsfläche bieten!
Die Bewerbung Deiner Dienstleistungen und Produkte, Generierung von Interessenten & Co. sollte keine Angriffsfläche bieten. Überprüfe deshalb unbedingt, ob Du beispielsweise deine Online-Aktivitäten (Webseite, Social Media Plattformen, Newsletter, Webanalysedienst etc.) und Offline-Aktivitäten (Gewinnspiele) datenschutzkonform betreibst. Zu den Basics gehören:
- Die Webseite muss datenschutzkonform sein. Aktuelle und passende Datenschutzerklärung muss vorhanden sein. Cookiebanner und Verschlüsselung sind ein Must-Have.
- Registrierung und Abmeldung von Newslettern muss datenschutzkonform sein
- Social Media Aktivitäten müssen entsprechende Regeln beachten (Impressumspflicht etc.)
- Nutzt Du einen Webanalysedienst, um das Verhalten der Websitebesucher zur Verbesserung des Informationsangebots zu analysieren (z.B. Google Analytics) und entspricht dieser den Datenschutzrichtlinien?
Kleiner Tipp: Aufgrund der aktuellen Entwicklungen im Datenschutz raten wir davon ab US-Dienstleister zu verwenden. Wo immer es geht, sollten Alternativen aus der EU genutzt werden, da es durch einen Transfer von personenbezogenen Daten in die USA zu größerem Ärger kommen kann.
Immer wenn personenbezogene Daten das erste Mal erhoben werden, muss der Betroffene darüber informiert werden, was mit seinen Daten geschieht. Das machst Du in einem One Pager, der dem Betroffenen direkt bei der Erhebung zugänglich gemacht wird. Dies geht auch über einen Link auf der Webseite. Der Betroffene muss nur informiert werden. Die notwendigen Informationen bekommst Du aus Deinen Prozessbeschreibungen aus dem Verzeichnis der Verarbeitungstätigkeiten.
Was ist zu tun – helfen Datenschutz-Checklisten, DSGVO-Software & Co.?
Der Datenschutz ist ein komplexes Thema. Wer keinen Profi engagieren muss oder möchte, dem empfehlen wir tatsächlich dringend zumindest auf die im Markt verfügbaren Hilfen zurückzugreifen. Ob Datenschutz-Checklisten oder DSGVO-Software, es lohnt sich darüber nachzudenken was Dir hilft, zu passt, wieviel Aufwand Du vertragen kannst und auch wo Du das beste Preis-/Leistungsverhältnis siehst.
Checklisten beispielsweise werden oft kostenlos angeboten und bieten eine recht gute Ausgangsbasis. Sie sind aber oft eindimensional, bei der Organisation und detaillierten Dokumentation sind sie keine große Hilfe. Alle Dokumente müssen in Eigenregie erstellt werden, für eine saubere Struktur, Organisation und Ablage muss das Unternehmen selbst sorgen.
Anders verhält es sich mit einer Datenschutz Software. Der große Vorteil hier ist, dass offene Punkte einfach Schritt für Schritt abgearbeitet werden, sogar meist mit individuellen Folge-Aufgaben auf Basis der Eingaben. Also auch Laien im Datenschutz gut geeignet. Die meisten bieten zudem Vorlagen, Muster, Verträge, Konzepte, die mit wenigen Klicks auf das eigene Unternehmen angepasst werden können. Hier kann also relativ wenig passieren und vergessen werden. Die Ablage der Dokumente erfolgt ebenfalls strukturiert an einem Ort bei dem jeweiligen Punkt.
Die Qual der Wahl. Anbieter im Markt gibt es viele. Bei der Auswahl ist es wichtig, dass die Software zu Deinem Unternehmen, Deinen Bedürfnissen und evtl. auch Deiner Branche passt. Wenn Du ein kleines Unternehmen bist, brauchst Du beispielsweise keine komplexe Konzernsoftware, für die Du erst Schulungen belegen musst. Kosten sowie möglicher Support bei Fragen sind ebenfalls wichtige Punkte.
Zusammenfassend kann man sagen, Datenschutz ist kein Hexenwerk und klappt auch im Alleingang. Aber es ist wichtig vorhandene Ressourcen gezielt und effektiv für das Thema einzusetzen. Der Datenschutz ist in der Regel nicht Deine Kernaufgabe. Du hast andere. Such Dir also Unterstützung mit Hilfe von Tools, Profis oder Checklisten und schließe die Lücken im Datenschutz zuverlässig. So bist Du auf der richtigen Seite und kannst Dich voll und ganz auf Deine Produkte und Dienstleistungen, Kunden und Mitarbeiter konzentrieren.
Über DSM-Online
DSM-Online ist eine webbasierte Datenschutzsoftware mit der speziell kleine und mittelständische Unternehmen die DSGVO-Vorgaben einfach und kostengünstig selbständig umsetzen können. In nur einem Tool werden Schritt für Schritt alle wichtigen Daten und Prozesse erfasst sowie notwendige Datenschutzdokumente erstellt.
Für die Mitglieder des Startup-Verbands bietet DSM-Online einen satten Rabatt auf die Jahresgebühr. Statt 549€ im Jahr zahlst Du nur 99€. Den Rabattcode findest Du über den Link im Member Benefit Program. Weitere Infos zu unserer Software erhältst Du hier: www.dsm-online.eu.